Gerenciando a segurança no Exchange ActiveSync
Aplica-se a: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Tópico modificado em: 2007-07-14
O Exchange ActiveSync permite que os usuários sincronizem dispositivos móveis com o Microsoft Exchange Server 2007. Isso dá aos usuários uma ampla variedade de dados do Exchange, incluindo mensagens de e-mail, dados de contatos e calendário, tarefas e dados de Unificação de Mensagens, como mensagens de fax e mensagens de correio de voz.
Dica
Para visualizar as mensagens de fax em um dispositivo móvel, os usuários talvez tenham que instalar um software adicional de terceiros.
Existem várias preocupações de segurança que devem ser levadas em consideração quando você implanta o Exchange ActiveSync. Este tópico fornece uma visão geral das opções de segurança para a implantação do Exchange ActiveSync.
Segurança do Exchange ActiveSync Server
Existem várias tarefas relacionadas à segurança que devem ser executadas em um servidor que está executando o Exchange ActiveSync. Uma das tarefas mais importantes é configurar um método de autenticação. O Exchange ActiveSync é executado em um servidor Exchange 2007 que tenha a função de servidor Acesso para Cliente instalada. Essa função de servidor é instalada com um certificado digital auto-assinado padrão. Embora o certificado auto-assinado tenha suporte para o Exchange ActiveSync, ele não é o método mais seguro de autenticação. Para obter uma segurança adicional, considere implantar um certificado confiável de uma autoridade de certificação (AC) comercial de terceiros ou uma autoridade de certificação de infra-estrutura de chave pública (PKI) do Windows. Para obter mais informações sobre como configurar um certificado digital confiável, consulte Como configurar o SSL para o Exchange ActiveSync.
Selecionando um método de autenticação para o Exchange ActiveSync
Além de implantar um certificado digital confiável, você deve considerar os vários métodos de autenticação disponíveis para o Exchange ActiveSync. Por padrão, quando a função de servidor Acesso para Cliente é instalada, o Exchange ActiveSync é configurado para usar a autenticação Básica com SSL (Secure Sockets Layer). Para fornecer ainda mais segurança, considere alterar seu método de autenticação para autenticação resumida ou autenticação do Windows integrada.
Dica
Os usuários com caixas de correio em um servidor Exchange 2003 que tentarem usar o Exchange ActiveSync por meio de um servidor de Acesso para Cliente do Exchange 2007 receberão um erro e não conseguirão sincronizar, a menos que a autenticação integrada do Windows esteja habilitada no diretório virtual do Microsoft-Server-ActiveSync no servidor Exchange 2003. Isso permite que o servidor de Acesso para Cliente do Exchange 2007 e o servidor back-end do Exchange 2003 se comuniquem com autenticação Kerberos.
Usando o ISA Server com o Exchange ActiveSync
O Microsoft Internet Security and Acceleration (ISA) Server 2006 e o Exchange 2007 foram projetados para fornecer uma segurança adicional para acesso do cliente ao Microsoft Exchange quando você usar o Exchange ActiveSync.
O ISA Server 2006 permite configurar métodos de autenticação para o Exchange ActiveSync quando você executar o assistente de Nova Regra de Publicação do Exchange. Para obter mais informações sobre como usar o ISA Server 2006 com o Exchange ActiveSync, consulte Configurando o ISA Server 2006 para Acesso para Cliente do Exchange.
Segurança de dispositivo
Além de melhorar a segurança do servidor Exchange ActiveSync, você também deve considerar melhorar a segurança dos dispositivos móveis dos seus usuários. Existem vários métodos que podem ser usados para melhorar a segurança dos dispositivos móveis.
Diretivas de Caixa de Correio do Exchange ActiveSync
O Exchange ActiveSync para Exchange 2007 permite criar diretivas de caixa de correio do Exchange ActiveSync para aplicar um conjunto comum de configurações de segurança a uma coleção de usuários. Algumas dessas configurações incluem o seguinte:
Exigir uma senha.
Especificar o comprimento mínimo da senha.
Exigir números ou caracteres especiais na senha.
Designar quanto tempo um dispositivo pode ficar inativo antes de o usuário ser solicitado a inserir novamente sua senha.
Especificar que o dispositivo seja apagado se uma senha incorreta for inserida mais do que um número específico de vezes.
Para obter mais informações sobre as diretivas de caixa de correio do Exchange ActiveSync, consulte Gerenciando o Exchange ActiveSync com diretivas.
Apagamento remoto de dados no dispositivo
Dispositivos móveis podem armazenar dados corporativos confidenciais e oferecer acesso a muitos recursos corporativos. Se um dispositivo for perdido ou roubado, esses dados poderão ser comprometidos. O apagamento remoto de dados no dispositivo é um recurso que permite que o servidor Exchange defina um dispositivo móvel para excluir todos os dados da próxima vez que o dispositivo se conectar ao servidor Exchange. Um apagamento remoto de dispositivo remove com eficácia todas as informações sincronizadas e configurações pessoais de um dispositivo móvel. Isso pode ser útil quando um dispositivo móvel for perdido, roubado ou comprometido de alguma outra forma.
Aviso
Após ocorrer o apagamento do dispositivo remoto, a recuperação dos dados será muito difícil. Entretanto, nenhum processo de remoção de dados deixa um dispositivo tão livre de dados residuais quanto quando ele é novo. A recuperação de dados de um dispositivo talvez ainda seja possível usando ferramentas sofisticadas.
Para obter mais informações sobre apagamento de dispositivo remoto, consulte Compreendendo o apagamento remoto de dispositivo.